Post on 15-Apr-2017
transcript
CLOUD COMPUTING AND BROADBAND ACCESS
THE INTERNET SIMPLY AND WITHOUT CONSTRAINTS
2
Flame, Un virus espion d'Etat
Au début du mois de mai, l'Union internationale des
télécommunications (UIT), agence des Nations unies
basée à Genève, reçoit un appel à l'aide de plusieurs
Etats du Moyen-Orient, car diverses installations
pétrolières de la région sont victimes d'une attaque
dévastatrice : des masses de données stockées sur leurs
ordinateurs disparaissent soudainement. Fin avril,
pour tenter de réparer les dégâts, l'Iran avait
dû couper temporairement les réseaux informatiques de
sonindustrie pétrolière. Le coupable semble être un
nouveau virus, opportunément baptisé "Wiper"
("effaceur").
Aussitôt, les experts du monde entier croient deviner que
l'affaire est un nouvel épisode de la mystérieuse
cyberguerre menée contre l'Iran par des pirates
inconnus. Déjà, en 2010, un virus de conception inédite,
baptisé "Stuxnet", s'était introduit dans les ordinateurs
contrôlant les centrifugeuses de l'usine d'enrichissement
d'uranium iranienne de Natanz, et avait réussi à
les saboter. Le virus provoqua même des explosions, une
première mondiale dans l'histoire
dupiratage informatique. Puis, à l'automne 2011, les
Iraniens avaient trouvé dans leurs réseaux informatiques
un virus espion, baptisé "Duqu", conçu pour voler des
informations sensibles. Ces agressions n'étaient pas
revendiquées, mais, selon les experts, seul un Etat
pouvait mobiliser les moyens humains et financiers
nécessaires pour créer des programmes aussi
complexes et innovants. Les soupçons s'étaient portés
sur les Etats-Unis, Israël ou les deux.
Cette fois, pour neutraliser Wiper, l'UIT fait appel
aux services de la société de sécurité russe Kaspersky.
Très vite, les Russes repèrent sur les ordinateurs infectés
un nom de fichier déjà détecté dans Duqu. Intrigués par
la similitude, ils s'aperçoivent que, cette fois, le fichier
suspect a été intégré dans un virus encore non identifié.
Ils le baptisent "Flame", car ce mot mystérieux revient
fréquemment dans son code informatique.
UNE GROSSE "BOÎTE À OUTILS"
Parallèlement, d'autres équipes traquent le virus
effaceur. Début mai, le laboratoire hongrois CrySys, de
l'université de technologie de Budapest, est contacté par
des commanditaires souhaitant rester anonymes, qui lui
proposent d'enquêter sur Wiper. CrySys est très réputé,
car c'est lui qui a détecté Duqu en 2011.
Très vite, les Hongrois découvrent le même virus que les
Russes, mais s'aperçoivent qu'il s'agit d'un monstre
d'une puissance inédite. Face à l'ampleur de la tâche, ils
transmettent le dossier à la société de sécurité
américaine Symantec, qui se met sur l'affaire avec de
gros moyens logistiques.
Le 28 mai, les Russes, les Hongrois, les Américains, et
même les Iraniens, qui ont participé à la traque, publient
des communiqués annonçant la découverte du
mégavirus, que tout monde décide d'appeler Flame.
3
Wiper, cible originelle de l'enquête, est complètement
délaissé - d'autant qu'il semble désormais inactif.
Une fois Flame identifié, les experts de plusieurs pays
mettent au point en urgence des programmes pour
le bloquer. Ils se lancent aussi dans une œuvre de
longue haleine - l'analyse du code qui le compose. Ils
vont de surprise en surprise. Dans sa version complète,
le code de Flame pèse 20 mégaoctets - vingt fois plus
que Stuxnet.
Il s'agit d'un système d'espionnage, qui travaille en
secret, sans perturber le fonctionnement de l'ordinateur.
Les chercheurs le comparent à une grosse "boîte à
outils", contenant une large panoplie de logiciels ayant
chacun leur spécialité. Il est capable d'identifier et
de recopier n'importe quel type de fichier, de mémoriser
chaque frappe sur le clavier, de faire des captures
d'écran, ou encore d'activer le micro de l'ordinateur
pour enregistrer les bruits et les conversations alentour. Il
peut même déclencher l'émetteur-récepteur sans fil
Bluetooth pour communiqueravec des ordinateurs
portables ou des smartphones situés à proximité.
SA MISSION REMPLIE, IL S'AUTODÉTRUIT
Comme la plupart des logiciels espions, il est piloté à
distance par plusieurs "centres de commande et de
contrôle", installés sur des serveurs situés n'importe où
dans le monde. Flame vise les machines équipées du
système d'exploitation Windows de Microsoft : grâce à
des certificats de sécurité fabriqués à l'aide
d'algorithmes très complexes, il se fait passer pour une
mise à jour de Windows. Il ne se propage pas
automatiquement sur le réseau, mais seulement au coup
par coup, sur décision d'un centre de commande - le but
étant d'éviter une prolifération anarchique qui accroîtrait
les risques de détection.
Avant de transmettre les données aux centres de
commande, le virus sécurise ses communications grâce
à des systèmes de cryptage intégrés. Enfin, il est doté
d'une fonction "suicide" : quand il a rempli sa mission, il
s'autodétruit. Flame possède peut-être d'autres
fonctions, qui restent à découvrir, car l'analyse ne fait
que commencer. Par ailleurs, les chercheurs estiment
qu'il a fonctionné pendant au moins deux ans avant
d'être repéré.
En ce qui concerne les victimes, les enquêteurs ont
identifié dans un premier temps plus de 400 ordinateurs
infectés : environ 200 en Iran, une centaine en Palestine,
une trentaine au Soudan et en Syrie, quelques-uns
au Liban, en Arabie saoudite, en Egypte... Au total, le
nombre de victimes est estimé à un millier.
A ce stade, les sociétés de sécurité refusent
de dire quels secteurs d'activité ont été visés dans
chaque pays. Elles notent seulement que Flame
recherchait particulièrement les fichiers Autocad (dessins
industriels, plans d'architecte, schémas de machines,
etc.). Elles affirment aussi que le virus a été trouvé sur
des ordinateurs installés chez des particuliers - soit
parce que leur vie privéeintéressait les espions, soit
parce qu'ils travaillaient sur des dossiers sensibles
depuis leur domicile.
A l'autre bout de la chaîne, les enquêteurs ont identifié
une quinzaine de centres de commande clandestins, qui
déménageaient régulièrement à travers l'Europe et
l'Asie, et fonctionnaient sous couvert de quatre-vingts
noms de domaine différents. Grâce à l'aide de GoDaddy
et d'OpenDNS, deux sociétés américaines de gestion de
noms de domaine, Kaspersky parvient à détourner le
trafic de Flame vers ses propres serveurs,
pour intercepter les flux de données entre les centres de
commande et les victimes. Cela dit, peu après l'annonce
officielle de la découverte de Flame, le trafic cesse
totalement.
4
LES ETATS-UNIS ET ISRAËL SOUPÇONNÉS
Pour les sociétés de sécurité, l'investigation s'arrête là :
pas question de chercherà démasquer les concepteurs
de Flame ni ses commanditaires. En théorie, ces
enquêtes sont du ressort de la justice des pays
concernés, mais les obstacles techniques, juridiques et
diplomatiques sont quasi insurmontables. Kaspersky se
contente d'affirmer que seul un Etat dispose des moyens
logistiques et financiers nécessaires pour créer un outil
aussi sophistiqué.
De son côté, le centre iranien Maher publie un
communiqué très technique :"Compte tenu du mode de
nommage des fichiers, des méthodes de propagation, du
niveau de complexité, de la précision du ciblage et de la
perfection de son fonctionnement, [Flame] a sans doute
un lien étroit avec (...) Stuxnet et Duqu (...). Les récents
incidents de pertes massives de données en Iran sont
probablement le résultat de l'installation de modules de
ce virus." Levente Buttyan, directeur duCrySys de
Budapest, est plus direct : "Il n'y a aucune preuve, mais
quand on examine les méthodes de travail, et qu'on
considère la région où se concentrent les cibles, il est
clair que les soupçons se portent sur les Etats-Unis
et Israël."
La paternité de Flame reste, à ce jour, inconnue, mais la
thèse de l'implication des Etats-Unis a été renforcée par
la publication le 5 juin d'un livre intitulé Confront and
Conceal : Obama's Secret Wars (Attaquer sans le dire :
les guerres secrètes d'Obama) de David Sanger,
correspondant du New York Times à Washington. David
Sanger, très introduit à la Maison Blanche, explique en
détail comment Stuxnet a été conçu, puis utilisé contre
l'usine nucléaire iranienne par les services secrets
américains, avec l'aide des Israéliens, au cours d'une
opération baptisée "Jeux olympiques". Il affirme aussi
qu'à la suite d'une erreur de manipulation, Stuxnet s'est
répandu sur Internet, infectant près de cent mille
machines dans le monde, mais que l'administration
Obama aurait décidé de poursuivre l'opération sans
se soucier des dommages collatéraux.
Or, officiellement, les Etats-Unis condamnent toutes les
activités dites de "cyberguerre" et mènent une
campagne diplomatique pour dissuader le reste du
monde, y compris leurs alliés, de fabriquer des virus
d'attaque. Après les révélations de David Sanger, la
première réaction du gouvernement Obama a été
d'ouvrir une enquête criminelle pour retrouver les
auteurs de la fuite - un aveu implicite. De son côté,
le New York Times affirme qu'avant de publier ces
informations il avait prévenu le gouvernement, qui lui
aurait alors demandé de ne pas publier certains détails
techniques, au nom de l'intérêt national.
S'il est avéré que le gouvernement des Etats-Unis
fabrique des virus, les sociétés américaines de sécurité,
qui travaillent souvent pour l'Etat, se retrouvent dans la
situation paradoxale de devoir contrecarrer des
opérations de leur propre gouvernement. Lors d'un
entretien accordé au Monde en juin 2011, le PDG de
Symantec, Enrique Salem, s'était félicité d'avoir réussi
à neutraliser en 2010 deux centres de commande de
Stuxnet, situés en Malaisie et aux Pays-Bas, et
d'avoiridentifié trois failles de sécurité utilisées par le
virus pour se propager. Il affirmait que Stuxnet avait été
fabriqué par un "Etat", sans préciser lequel.
En ce qui concerne Flame, les responsables de
Symantec rappellent qu'ils défendent en priorité les
intérêts de leurs clients - mais qu'en raison de l'embargo
décrété par les Etats-Unis ils n'ont pas de clients en Iran.
De toute façon, les Américains ne sont pas vraiment en
pointe dans la lutte contre ces virus : Stuxnet a été
détecté pour la première fois par une équipe biélorusse,
Duqu par les Hongrois, et Flame à la fois par les Russes,
les Hongrois et... par les Iraniens, toujours aux premières
loges.
Yves Eudes
Source
5
Rue N°6, 101 Cité Jourdain, Hai Chouhada (Ex Les Castors) 31000 Oran. DZ M. +213(0) 555 022 802 I T. +213(0) 41 469 459 I F. +213(0) 41 469 446